Klauzula usprawiedliwionego celu na gruncie ustawy o ochronie danych osobowych

Jedną z podstaw prawnych upoważniających do przetwarzania danych osobowych stanowi tzw. klauzula usprawiedliwionego celu określona w art. 23 ust. 1 pkt. 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych1 , zwanej dalej także „ustawą”. Zgodnie z brzmieniem tego artykułu przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Należy podkreślić, iż powyższa przesłanka jest autonomiczna, niezależna od innych przesłanek określonych w powołanym artykule. Jej spełnienie jest wystarczające dla legalnego (zgodnego z prawem) przetwarzania danych osobowych, co oznacza, że nie jest konieczne spełnianie żadnej innej przesłanki legalizującej, np. w postaci zgody osoby na przetwarzanie jej danych osobowych. Potwierdził to Naczelny Sąd Administracyjny w wyroku z dnia 21 listopada 2002 r.2 uznając, iż przetwarzanie danych osobowych nie jest zawsze uzależnione od zgody osoby, której te dane dotyczą, co wynika z art. 23 ust. 1 pkt. 2-5 ustawy o ochronie danych osobowych.
Klauzula usprawiedliwionego celu ma charakter dopełniający w stosunku do pozostałych przesłanek legalizujących w tym sensie, że administrator danych nie legitymując się żadną przesłanką z art. 23 ust. 1 pkt. 1-4 zawsze może powołać się na tę klauzulę uzasadniając, że przetwarzanie danych jest mu niezbędne dla realizacji określonego celu. Wynika to z faktu, iż omawiana przesłanka stanowi klauzulę o charakterze ogólnym, zgodnie z którą przetwarzanie danych osobowych jest dopuszczalne w przypadku zaistnienia łącznie dwóch okoliczności:

  1. przetwarzanie danych jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów administratorów lub odbiorców danych,
  2. przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. W wyroku z dnia 19 listopada 2001r.3 Naczelny Sąd Administracyjny podkreślił, że termin „usprawiedliwione cele” jest zwrotem niedookreślonym i stanowi klauzulę generalną. Powoduje to pewnego rodzaju luz decyzyjny, z jednej strony dla administratorów danych, a z drugiej dla organu stosującego prawo (Generalny Inspektor Ochrony Danych Osobowych). Administratorzy danych mogą sami ocenić, czy ich działalność jest prawnie dopuszczalna, co uprawniałoby ich do przetwarzania danych na podstawie klauzuli usprawiedliwionego celu, z drugiej strony organ stosujący prawo może przy podejmowaniu decyzji kierować się ocenami indywidualnymi konkretnej sytuacji.

Gruntowna analiza klauzuli usprawiedliwionego celu wymaga omówienia zasadniczych jej elementów:

  1. Niezbędność realizacji celów administratorów danych lub odbiorców danych
    Dane osobowe mogą być przetwarzane tylko wówczas, gdy jest to konieczne dla osiągnięcia określonego celu realizowanego przez administratora lub odbiorcę danych. Administrator lub odbiorca danych musi zatem wykazać, że przetwarzanie danych osobowych jest mu niezbędne, aby mógł osiągnąć zamierzony cel. W przeciwnym razie (bez przetwarzania danych osobowych) realizacja tego celu będzie niemożliwa.
    Należy zauważyć, iż klauzula usprawiedliwionego celu stanowi także podstawę prawną do przetwarzania danych przez odbiorców danych.4 W praktyce są nimi najczęściej administratorzy danych, którym inny administrator przekazuje dane osobowe. Jeśli określony administrator jest uprawniony do przetwarzania danych osobowych na podstawie art. 23 ust. 1 pkt. 5 ustawy, ma on również prawo do udostępniania danych osobowych. Zgodnie bowiem z ustawową definicją „przetwarzanie danych” to m.in. ich udostępnianie. A zatem odbiorca danych, który przetwarza je w związku z przedmiotem swojej działalności może także powoływać się na klauzulę usprawiedliwionego celu jako podstawę prawną przetwarzania tych danych.
  2. Prawne usprawiedliwienie dla wypełnienia celów administratorów lub odbiorców danych.
    Ustawa o ochronie danych osobowych wymaga aby cel, dla osiągnięcia którego przetwarzane są dane osobowe był prawnie usprawiedliwiony. W literaturze podkreśla się, że „prawnego usprawiedliwienia” nie można utożsamiać z jakimś konkretnym przepisem szczegółowym . Nie chodzi tu o to, by owo „usprawiedliwienie” wynikało z jakiegoś określonego przepisu prawa. Prowadziłoby to bowiem do „nałożenia się” na siebie dwóch przesłanek legalizujących przetwarzanie danych, tj. klauzuli usprawiedliwionego celu oraz przesłanki z art. 23 ust. 1 pkt. 2 upoważniającej do przetwarzania danych wówczas, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Ocenie powinna podlegać tu raczej okoliczność czy cel, który zamierza osiągnąć administrator lub odbiorca danych, znajduje swoje gospodarcze i prawne uzasadnienie. Takiego prawnego uzasadnienia należy doszukiwać się przede wszystkim w przedmiocie działalności danego podmiotu . Chodzi tu zatem o „prawne usprawiedliwienie” wynikające głównie z działalności prowadzonej przez administratorów lub odbiorców danych, ale oczywiście tylko takiej, która pozostaje w zgodzie z obowiązującym porządkiem prawnym. Nie może być bowiem uznana za prawnie usprawiedliwiony cel działalność sprzeczna z prawem.

W doktrynie przyjmuje się, że prawnie usprawiedliwionym celem jest przetwarzanie danych osobowych w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.1

 Ustawa o ochronie danych osobowych za prawnie usprawiedliwiony cel uznaje w szczególności marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Wyliczenie to nie jest wyczerpujące i ma charakter jedynie przykładowy na co wskazuje sformułowanie „w szczególności”. Jest ono jednak bardzo istotne, gdyż usuwa wątpliwości pojawiające się w odniesieniu do tego typu działalności. Tak więc w przypadku przetwarzania danych osobowych w celu marketingu własnych produktów lub usług jak również w celu dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej klauzula usprawiedliwionego celu jest wystarczającą przesłanką uprawniającą administratora do przetwarzania danych osobowych w tych celach. W związku z tym administratorzy danych nie muszą uzyskiwać zgody osób na przetwarzanie ich danych w powyższych celach.

Za działania w zakresie marketingu bezpośredniego uznaje się wszelkie działania promujące produkty lub usługi, które skierowane są do podmiotu danych.2

Co ciekawe, w literaturze można znaleźć pogląd, zgodnie z którym na podstawie klauzuli usprawiedliwionego celu możliwe jest przetwarzanie danych osobowych w celu marketingu bezpośredniego cudzych produktów lub usług. Administrator danych może wówczas powoływać się na art. 23 ust. 1 pkt 5 ustawy, jeżeli nie ma wątpliwości co do nienaruszania przez przetwarzanie danych praw i wolności osoby, której te dane dotyczą.3 Interpretacja ta jest jednak wielce dyskusyjna ze względu na to, iż zdaje się nie uwzględniać wyrażonego expressis verbis w powyższym artykule sformułowania „własnych produktów i usług”. W związku z tym, iż jest ona pozbawiona podstaw prawnych należy ją uznać za niewłaściwą.
Prawnie usprawiedliwiony cel jakim jest dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej stał się przedmiotem sporu pomiędzy administratorami danych a Generalnym Inspektorem Ochrony Danych Osobowych. Podejmując rozstrzygnięcie w tym sporze Naczelny Sąd Administracyjny w Składzie 7 Sędziów4 zwrócił uwagę zwłaszcza na art. 23 ust. 1 pkt 5 ustawy stwierdzając, iż przesłanka, o której mowa w tym artykule odnosi się wprost do administratora lub odbiorcy danych, którzy – aby zrealizować prawnie dopuszczalne cele – muszą udostępnić dane osobowe, pod warunkiem jednak, że nie naruszy to praw i wolności osoby, której dane dotyczą. Sąd podkreślił, iż już samo użycie określenia „jeżeli jest to niezbędne” wskazuje, że stosowanie tych przepisów wymaga nie tylko wykazania, że chodzi o realizowanie uprawnienia lub obowiązku wynikającego z przepisów prawa lub prawnie usprawiedliwionego celu, ale także dokonania oceny, czy dla realizacji tego konieczne jest przekazanie danych, mimo że brak jest na to zgody osoby, której dane dotyczą. Ocena ta to wyważenie racji i interesów, z jednej strony osoby, której dane dotyczą, mającej objęty ochroną prawną interes, aby jej dane nie były przetwarzane bez jej zgody, a z drugiej strony – administratora danych, który ma także objęty ochroną prawną interes polegający na tym, że ma prawo realizować prawnie usprawiedliwione cele i uprawnienia, co w przypadku administratora danych będącego wierzycielem obejmuje jego prawo do uzyskania należnego świadczenia od dłużnika. Unormowanie to jest więc oparte na założeniu, że dochodzi do konfliktu interesów między interesem osoby, która ma prawo do ochrony swoich danych osobowych, a interesem administratora tych danych, który ma prawo je przetwarzać, jeżeli jest to konieczne do realizacji jego uprawnień wynikających z przepisów prawa lub prawnie usprawiedliwionego celu. Wyważenie tych interesów jest koniecznym warunkiem przy stosowaniu art. 23 ustawy, z uwzględnieniem rangi tychże interesów w realiach konkretnej sprawy. Jest to szczególnie ważne, ponieważ konflikt ten dotyczy ochrony prywatności osoby, której dane są przetwarzane, a więc wartości, która ma szczególnie wysoką rangę, także w systemie wartości konstytucyjnych. Oznacza to, że w razie przetwarzania danych osobowych przez administratora danych bez zgody osoby, której dane dotyczą, w pierwszej kolejności konieczne jest ustalenie i rozważenie, czy spełniona jest ustawowa przesłanka szczegółowa uzasadniająca przetwarzanie danych bez zgody osoby, której dane dotyczą, a następnie, jeżeli przesłanka ta jest spełniona, ustalenie i rozważenie wszystkich okoliczności koniecznych do ochrony interesów osoby, której dane dotyczą oraz interesów administratora danych.

W rozstrzyganej przez NSA sprawie Generalny Inspektor Ochrony Danych Osobowych uznał, że zawarcie umowy przelewu wierzytelności bez zgody dłużnika jest prawnie niedopuszczalne, ponieważ dłużnik jest konsumentem. Na tej podstawie organ przyjął, że wierzyciel (będący administratorem danych) nie realizuje prawnie usprawiedliwionego celu w rozumieniu art. 23 ust. 1 pkt 5 ustawy. NSA podkreślił, że ustalenie, iż administrator danych realizuje cel prawnie usprawiedliwiony, nie może przesądzić o dopuszczalności przetwarzania danych osobowych bez zgody osoby, której dane dotyczą. Konieczne jest dokonanie oceny, czy jest to niezbędne dla realizacji tego celu oraz dokonanie wyważenia interesów administratora danych i osoby, której dane dotyczą, z uwzględnieniem celu ustawy o ochronie danych osobowych, którym jest ochrona prywatności. Sąd zwrócił także uwagę na przepisy ustawy z dnia 14 lutego 2003 r. o udostępnianiu informacji gospodarczych5 , które regulują zasady i tryb udostępniania przez przedsiębiorców informacji gospodarczych, w tym i danych osobowych osób fizycznych, dotyczących wiarygodności płatniczej innych przedsiębiorców i konsumentów, w szczególności danych o zwłoce w wykonywaniu zobowiązań pieniężnych, osobom trzecim nieoznaczonym w chwili przeznaczenia tych danych do udostępnienia oraz uznał, że prawnie usprawiedliwiony cel, o którym mowa w art. 23 ust. 1 pkt 5 ustawy może być oparty także na przepisach prawa cywilnego. Za taki prawnie usprawiedliwiony cel już sama ustawa o ochronie danych osobowych uznaje dochodzenie roszczeń z tytułu prowadzenia działalności gospodarczej. NSA przyznał, że przepisy prawa cywilnego, które służą ochronie konsumentów, mają znaczenie przy ocenie, czy cel jest prawnie usprawiedliwiony. Jednakże, czym innym jest ocena, czy cel realizowany przez administratora danych, jest prawnie usprawiedliwiony w rozumieniu art. 23 ust. 1 pkt 5 ustawy, a czym innym – zanegowanie tego celu stwierdzeniem, że zawarcie określonej umowy w ogóle jest zakazane.

3. Zakaz naruszania praw i wolności osoby, której dane dotyczą

Klauzula usprawiedliwionego celu może mieć zastosowanie tylko wtedy, gdy nie naruszy to praw i wolności osoby, której dane dotyczą. Zapis taki wzbudza szereg wątpliwości i w praktyce może on powodować całkowite wyłączenie możliwości powoływania się przez administratorów danych na tę klauzulę jako podstawę prawną przetwarzania danych. Zawsze bowiem może pojawić się zarzut, iż w związku z przetwarzaniem danych osobowych bez zgody osoby, której one dotyczą, zostały naruszone prawa i wolności tej osoby. W takim przypadku omawiana przesłanka stawałaby się przesłanką o mniejszej wartości w stosunku do pozostałych przesłanek uprawniających do przetwarzania danych bez zgody osoby, której dane dotyczą. Widać wyraźnie, że dochodzi tutaj do konfliktu prawa do ochrony danych osobowych oraz prawa do prowadzenia działalności gospodarczej. W literaturze podkreśla się, iż ochrona danych osobowych nie powinna być absolutyzowana, ponieważ przepisy ustawy o ochronie danych osobowych muszą być stosowane i interpretowane łącznie z innymi przepisami służącymi ochronie innych praw i wartości.6 Nie należy bowiem zapominać także o innych wartościach chronionych konstytucyjnie takich jak prawo do pozyskiwania i rozpowszechniania informacji, wolność komunikowania się, wolność słowa czy wolność badań naukowych. Autonomia informacyjna jednostki nie może mieć charakteru absolutnego, gdyż w pewnych sytuacjach prowadziłoby to wręcz do absurdów.

Należy zatem w każdym przypadku powoływania się na klauzulę usprawiedliwionego celu wyważać z jednej strony interesy administratorów czy odbiorców danych, z drugiej zaś interesy podmiotu danych (osoby, której dane dotyczą). Konstrukcja omawianej klauzuli upoważnia niejako samego administratora do dokonania oceny, czy przetwarzanie danych jest usprawiedliwione, a także czy nie narusza praw i wolności osoby, której dane dotyczą. Ocena ta może być jednak zakwestionowana zarówno przez podmiot danych jak i przez organ stosujący prawo (Generalny Inspektor Ochrony Danych Osobowych). W literaturze podnosi się, że powołanie się na przesłankę z art. 23 ust. 1 pkt. 5 jest możliwe jeżeli zakładając, że administrator wypełnia swój usprawiedliwiony cel, nie ma żadnych podstaw do przyjęcia, że przeważają kolidujące interesy osoby, której dane dotyczą, a więc można mówić o naruszeniu praw i wolności tej osoby.7

Należy zwrócić uwagę, iż art. 23 ust. 1 pkt 5 ustawy jest bardziej restrykcyjny, niż analogiczny przepis Dyrektywy Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/EC) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. W świetle Dyrektywy bowiem przepis ten nie może znaleźć zastosowania tylko wówczas, gdy podstawowe prawa i wolności jednostki mają ”większą wagę”, niż uzasadnione interesy administratora danych. Natomiast zgodnie z polską ustawą przepis ten ma zastosowanie tylko wtedy, gdy nie zostaną naruszone prawa i wolności osoby, której dane dotyczą. Tak więc w przypadku polskiej ustawy wydaje się, iż w celu powołania się na ten przepis każdorazowo trzeba wykazać, iż prawa i wolności osoby, której dane dotyczą nie zostaną w danym przypadku naruszone.
W świetle powyższych uwag zasadne wydaje się rozważenie ewentualnej zmiany analizowanego przepisu w celu jego poprawienia w taki sposób, aby nie wzbudzał w/w wątpliwości.

About Redakcja 310 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.